Контакты
Подписка
МЕНЮ
Контакты
Подписка

Information Security №1/2018: КИИ – чего ожидать и что делать?

Ekaterina Danilina, 23.03.18

samatov_m

 

Автор: Константин Саматов, руководитель направления в Аналитическом центре Уральского центра систем безопасности, член Ассоциации руководителей служб информационной безопасности, преподаватель дисциплин информационной безопасности в УрГЭУ и УРТК им. А.С. Попова

Аббревиатура КИИ (критическая информационная инфраструктура), ставшая особенно популярной с июля 2017 года в связи с принятием Федерального закона "О безопасности критической информационной инфраструктуры Российской Федерации" (вступил в силу 1 января 2018 года) и по сей день порождает массу вопросов практической направленности, ответы на которые автор постарается дать в данной статье.

В чем особенности правового статуса субъекта критической информационной инфраструктуры?

В соответствии со ст. 2 Федерального закона от 26.07.2017 № 187-ФЗ "О безопасности критической информационной инфраструктуры Российской Федерации":

Объекты критической информационной инфраструктуры -- информационные системы, информационно-телекоммуникационные сети, автоматизированные системы управления субъектов критической информационной инфраструктуры.

Субъекты критической информационной инфраструктуры -- государственные органы, государственные учреждения, российские юридические лица и (или) индивидуальные предприниматели, которым на праве собственности, аренды или на ином законном основании принадлежат информационные системы, информационно-телекоммуникационные сети, автоматизированные системы управления, функционирующие в сфере здравоохранения, науки, транспорта, связи, энергетики, банковской сфере и иных сферах финансового рынка, топливно-энергетического комплекса, в области атомной энергии, оборонной, ракетно-космической, горнодобывающей, металлургической и химической промышленности, российские юридические лица и (или) индивидуальные предприниматели, которые обеспечивают взаимодействие указанных систем или сетей.

Виды субъектов КИИ

Таким образом, субъекты критической информационной инфраструктуры (далее -- субъект КИИ), по мнению автора, можно разделить на два вида.


Как понять, к какой сфере относится объект?

По мнению автора, на то должно быть прямое указание в действующем законодательстве. Например, ст. 91 "Информационные системы в сфере здравоохранения" Федерального закона от 21.11.2011 № 323-ФЗ "Об основах охраны здоровья граждан в Российской Федерации" однозначно прописывает, какая информация обрабатывается в информационных системах в сфере здравоохранения и кто относится к их операторам. Иной способ определять, относится ли предприятие (организация) к той или иной сфере, как видится автору, -- это использовать Общероссийский классификатор видов экономической деятельности (ОКВЭД).


 

Обладатели объектов КИИ

Им необходимо одновременно соответствовать трем критериям:

1) относиться к государственному органу, государственному учреждению, российскому юридическому лицу или индивидуальному предпринимателю. Иными словами, иностранные юридические лица субъектами КИИ не являются;

2) объект информационной инфраструктуры (информационная система, информационно-телекоммуникационная сеть, автоматизированная система управления) должен принадлежать субъекту на праве собственности, аренды или ином законном основании. По мнению автора, термин "принадлежат", использованный законодателем, в указанном контексте не совсем удачен, т.к. большинство толковых словарей русского языка толкует его как "находиться в чьей-либо собственности", при этом, исходя из контекста, следует, что субъекту достаточно владеть и/или пользоваться (например, посредством удаленного доступа) объектом критической инфраструктуры;

3) объект информационной инфраструктуры должен функционировать в сфере здравоохранения, науки, транспорта, связи, энергетики, банковской сфере и иных сферах финансового рынка, топливно-энергетического комплекса, в области атомной энергии, оборонной, ракетно-космической, горнодобывающей, металлургической и химической промышленности.

Организации, обеспечивающие взаимодействие между объектами КИИ

Им необходимо одновременно удовлетворять двум критериям:

1) быть российским юридическим лицом или индивидуальным предпринимателем;

2) обеспечивать взаимодействие между объектами КИИ.

Таким образом, вопреки распространенному мнению, далеко не каждая организация является субъектом КИИ.

Сколько видов КИИ -- два или четыре?

Помимо отнесения того или иного хозяйствующего субъекта к критической информационной инфраструктуре, среди специалистов-практиков в области информационной безопасности ведется достаточно большое количество споров о классификации объектов КИИ.

По мнению автора, объекты КИИ целесообразно подразделить на два вида --  "значимый" и "незначимый", а значимые объекты -- на три категории (в соответствии с ч. 3 ст. 7 Федерального закона "О безопасности критической информационной инфраструктуры Российской Федерации"): самая высокая категория -- первая, самая низкая -- третья.

От "величины" категории значимого объекта КИИ зависит набор организационных и технических мер, обеспечивающих блокирование (нейтрализацию) угроз безопасности информации, последствиями которых может быть прекращение или нарушение функционирования объекта. Подход, ставший уже стандартным и аналогичный требованиям к информационным системам персональных данных (приказы ФСТЭК России № 17 и 21) и автоматизированным системам управления технологическими процессами (приказ ФСТЭК России № 31). При этом следует отметить, что для информационных систем (информационных систем персональных данных), операторы которых традиционно уделяли первостепенное значение обеспечению конфиденциальности информации, равное значение приобретает обеспечение ее целостности и доступности.

Кроме того, от категории значимого объекта КИИ зависит выбор мер, направленных на нейтрализацию действий возможного нарушителя. Так, п. 22 Требований по обеспечению безопасности значимых объектов критической информационной инфраструктуры Российской Федерации¹ предусматривает, что выбранные и реализованные в значимом объекте меры по обеспечению безопасности как минимум должны обеспечивать:

* в значимых объектах 1-й категории -- нейтрализацию (блокирование) угроз безопасности информации, связанных с действиями нарушителя с высоким потенциалом;

* в значимых объектах 2-й категории -- нейтрализацию (блокирование) угроз безопасности информации, связанных с действиями нарушителя с потенциалом не ниже базового повышенного уровня;

* в значимых объектах 3-й категории -- нейтрализацию (блокирование) угроз безопасности информации, связанных с действиями нарушителя с базовым потенциалом.

Потенциал нарушителя определяется в ходе оценки его возможностей (потенциала), проводимой при анализе угроз безопасности информации.

Что касается объектов КИИ, не отнесенных к значимым, то для них никаких дополнительных мер по обеспечению информационной безопасности, в соответствии с существующими и находящимися в проекте на сегодняшний день нормативно-правовыми актами, не требуется.

"Значимый" или "незначимый" объект КИИ?

Определение категорий значимости объектов КИИ осуществляется на основании показателей критериев значимости объектов КИИ и их значений, которые планируются к утверждению Правительством Российской Федерации. Проект указанного постановления уже доступен в любой справочно-правовой системе. По мнению автора, в рамках указанной статьи нет смысла подробно разбирать каждый из критериев, рассмотрим лишь некоторые из них:

* возможно причинение ущерба жизни и здоровью людей, оцениваемое через количество людей, жизни и здоровью которых возможно причинение ущерба. Минимальное значение для присвоения третьей категории -- 1 человек. Таким образом, практически любая автоматизированная система управления технологическими процессами будет относиться к значимому объекту КИИ;

* возможно прекращение или нарушение функционирования системы управления сетью связи, оцениваемое через территорию, на которой возможно прекращение или нарушение функционирования сети связи (для присвоения третьей категории достаточно территории муниципального образования) или через количество людей, для которых могут быть недоступны услуги связи, в тысячах человек (от 50). Таким образом, информационные системы и информационно-телекоммуникационные сети практически всех операторов связи будут относиться к значимым объектам КИИ;

* возможно отсутствие доступа к государственным услугам, предоставляемым в электронном виде, оцениваемое в максимально допустимом времени, в течение которого государственная услуга, предоставляемая в электронном виде, может быть недоступна для пользователей, в часах (от 24 часов и меньше). Таким образом, любая информационная система (информационная система персональных данных) любого субъекта (государственный орган, государственное учреждение и т.п.), участвующая в процессе оказания государственной услуги, будет относиться к значимому объекту КИИ;

* возможно прекращение и (или) нарушение функционирования более чем на четыре часа, а также подмена официального сайта государственного органа, оцениваемые через уровень (значимость) государственного органа (начиная от органов государственной власти субъекта или города федерального значения). Таким образом, официальный сайт любого органа законодательной, исполнительной либо судебной власти следует относить к значимому объекту КИИ;

* возможно прекращение или нарушение проведения клиентами операций по банковским счетам (без открытия банковского счета) или операций, осуществляемых субъектом КИИ, являющимся, в соответствии с законодательством Российской Федерации, системно значимой кредитной организацией, оператором услуг платежной инфраструктуры системно и/или социально значимых платежных систем или системно значимой инфраструктурной организацией финансового рынка, оцениваемое среднедневным (по отношению к числу календарных дней в году) количеством осуществляемых операций в млн единиц (расчет осуществляется по итогам года, а для создаваемых объектов -- на основе прогнозных значений) (минимум три). А вот организации банковского сектора, вопреки сложившемуся мнению, напротив, далеко не все будут относиться к значимым объектам КИИ.

Каков порядок категорирования?

Категорирование объектов КИИ осуществляется субъектами КИИ. Категорированию подлежат объекты КИИ, которые обеспечивают управленческие, технологические, производственные, финансово-экономические и (или) иные процессы (т.е. по сути -- любые бизнес-процессы) в рамках выполнения функций или осуществления видов деятельности субъектов КИИ.

В соответствии с ч. 4 ст. 17 Федерального закона "О безопасности критической информационной инфраструктуры Российской Федерации" субъекты КИИ присваивают категорию объекту КИИ, опираясь на критерии значимости и показатели их значений, руководствуясь порядком осуществления категорирования. Если объект критической информационной инфраструктуры не соответствует критериям значимости, показателям этих критериев и их значениям, ему не присваивается ни одна из таких категорий.

Процедура категорирования включает следующие этапы:

1. Создание комиссии по категорированию, в составе:

* руководителя субъекта КИИ или уполномоченного им лица. Он же является председателем этой комиссии;

* работников субъекта критической информационной инфраструктуры, являющихся специалистами в области выполняемых функций или осуществляемых видов деятельности, в области информационных технологий и связи, по эксплуатации основного технологического оборудования, технологической (промышленной) и пожарной безопасности, контролю за опасными веществами и материалами, учету опасных веществ и материалов;

* работников субъекта критической информационной инфраструктуры, на которых возложены функции обеспечения безопасности (информационной безопасности) объектов критической информационной инфраструктуры;

* работников подразделения по защите государственной тайны субъекта КИИ (в случае, если объект КИИ обрабатывает информацию, составляющую государственную тайну);

* работников структурного подразделения по гражданской обороне объекта или работников, уполномоченных на решение задач в области гражданской обороны.

Таким образом, состав комиссии является обширным. При этом, по мнению автора, оставленная законодателем возможность для руководителя субъекта КИИ уклониться от указанного процесса (назначить уполномоченное лицо) на практике приведет к тотальному наделению функциями председателя комиссии по категорированию объекта КИИ руководителя службы безопасности (службы информационной безопасности).

2. Формирование перечня объектов КИИ, подлежащих категорированию, с указанием сроков проведения их категорирования и согласование указанного перечня со ФСТЭК России (п. 15 проекта постановления Правительства РФ "Об утверждении показателей критериев значимости объектов критической информационной инфраструктуры Российской Федерации и их значений, а также порядка и сроков осуществления их категорирования"). Максимальный срок категорирования объектов критической информационной инфраструктуры не должен превышать одного года со дня утверждения субъектом критической информационной инфраструктуры перечня объектов критической информационной инфраструктуры, подлежащих категорированию.

3. Осуществление категорирования объектов КИИ в соответствии с планом и составление актов категорирования для каждого из объектов. Акт категорирования подписывается членами комиссии и утверждается руководителем субъекта КИИ.

4. Направление сведений о результатах присвоения объекту (объектам) КИИ одной из категорий значимости либо об отсутствии необходимости присвоения ему такой категорий во ФСТЭК России, в 10-дневный срок со дня утверждения акта категорирования.

5. Получение уведомления из ФСТЭК России о включении объекта (объектов) в реестр значимых объектов КИИ. ФСТЭК России после получения сведений о результатах категорирования от субъекта КИИ обязан в течение 30 дней проверить правильность категорирования и при выявлении нарушений возвратить направленный документ субъекту КИИ для исправления.

Можно ли не проводить категорирование?

Субъект КИИ будет обязан приступить к категорированию с момента вступления в силу постановления Правительства РФ "Об утверждении показателей критериев значимости объектов критической информационной инфраструктуры Российской Федерации и их значений, а также порядка и сроков осуществления их категорирования" и в течение шести месяцев согласовать со ФСТЭК России перечень объектов КИИ, подлежащих категорированию, а также сроки проведения их категорирования, а затем в течение одного года провести категорирование объектов КИИ и направить утвержденные акты во ФСТЭК.

В случае непредставления субъектом критической информационной инфраструктуры сведений о результатах категорирования объекта критической информационной инфраструктуры ФСТЭК России направляет в адрес указанного субъекта требование о необходимости соблюдения положений ст. 7 Федерального закона "О безопасности критической информационной инфраструктуры Российской Федерации" (ч. 11 ст. 7 соответствующего федерального закона).

Невыполнение указанного требования влечет административную ответственность по ст. 19.4 Кодекса об административных правонарушениях Российской Федерации. Помимо этого, само по себе непредоставление во ФСТЭК России информации о категорировании объектов КИИ образует состав административного правонарушения, предусмотренного ст. 19.7 Кодекса об административных правонарушениях Российской Федерации.

Кроме того, само по себе проведение категорирования важно, как уже было отмечено выше, для обеспечения необходимых и достаточных, в соответствии с действующим законодательством, правил эксплуатации средств хранения, обработки или передачи охраняемой компьютерной информации, содержащейся в критической информационной инфраструктуре Российской Федерации, а также правил доступа к информации, информационным системам, информационно-телекоммуникационным сетям, автоматизированным системам управления, сетям электросвязи, за нарушение которых (а нарушение может выражаться как в форме действия, так и бездействия), если оно повлекло причинение вреда критической информационной инфраструктуре Российской Федерации, предусмотрена уголовная ответственность по ст. 274.1 Уголовного кодекса Российской Федерации.

Таким образом, с учетом изложенного, автор не рекомендует пренебрегать исполнением требований Федерального закона "О безопасности критической информационной инфраструктуры Российской Федерации".


1 На момент подготовки данной статьи (25 января 2018 г.) – проект приказа ФСТЭК России.

 


Читайте также:

* Многоуровневая защита http://itsec.ru/imag/insec-1-2016/10

* Современные угрозы для индустриальных сетей http://itsec.ru/imag/insec-1-2016/14

* Информационная составляющая энергетической безопасности государства http://itsec.ru/imag/insec-3-2016/10

* Защита технологических сетей http://itsec.ru/imag/insec-1-2017/12

Темы:Информационная безопасностьБезопасность АСУ ТПжИБ №1/2018журналКИИНовости проекта ITSec.RuПраво и нормативыinformation securityАСУТП

Еще темы...